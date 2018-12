Die Betreiber des Frage-Portals Quroa warnen derzeit rund 100 Millionen Nutzer per E-Mail, dass unbekannte Angreifer die Website erfolgreich attackiert haben und Zugriff auf verschiedene Nutzerdaten hatten. Quora gibt an, den Vorfall am vergangenen Freitag entdeckt zu haben.

Aus einer Warnmeldung der Quora-Verantwortlichen geht hervor, dass die Eindringlinge unter anderem Direktnachrichten, E-Mail-Adressen, Kommentare und Passwörter kopieren konnten. Kreditkartendaten und anonym verfasste Beiträge sollen von dem Vorfall nicht betroffen sein. Derzeit ist das komplette Ausmaß noch unklar und die Untersuchungen dauern an.

Bei Quora kann man Fragen aller Art stellen, welche die Community beantwortet. Außerdem kann man Nutzer abonnieren und Themen folgen. Den Auskunftsdienst gibt es seit 2009.

Passwort-Schutz unklar

Die Website-Betreiber versichern, dass Kennwörter geschützt auf den Servern (Hash plus Salt) vorliegen. Doch mit welcher Hash-Funktion die Daten behandelt sind, ist momentan noch unklar. Eine Antwort auf die Anfrage von heise Security steht noch aus.

Würde hier das schon lange als unsicher geltende MD5-Verfahren ohne Salt zum Einsatz kommen, könnten die Angreifer die erbeuteten Passwörter in den meisten Fällen mit vergleichsweise geringem Zeitaufwand rekonstruieren. Bleibt zu hoffen, dass ein derzeit als sicheres geltendes Verfahren wie bcrypt zum Einsatz kommt, um die Daten effektiver vor Brute-Force-Attacken zu schützen.

Aus Sicherheitsgründen hat Quora Passwörter ungültig gemacht und Nutzer ausgeloggt. Wer den Service nutzt, muss beim nächsten Einloggen ein neues Kennwort vergeben. Findet das kompromittierte Passwort auch bei anderen Online-Services Verwendung, sollte man es auch dort ändern.

Wie die Angreifer in das System kommen konnten, ist derzeit noch nicht geklärt. Momentan arbeiten Strafverfolgungsbehörden und Forensik- und Sicherheitsfirmen den Vorfall auf.

[UPDATE, 04.12.2018 10:30 Uhr]

Aus den Mails an betroffene Nutzer geht hervor, dass die Passwörter gehasht mit Salt auf den Servern vorliegen. Fließtext ist angepasst. (des)